CN114329534A - 权限确定方法、装置、计算机设备和计算机可读存储介质 - Google Patents
权限确定方法、装置、计算机设备和计算机可读存储介质 Download PDFInfo
- Publication number
- CN114329534A CN114329534A CN202111590467.2A CN202111590467A CN114329534A CN 114329534 A CN114329534 A CN 114329534A CN 202111590467 A CN202111590467 A CN 202111590467A CN 114329534 A CN114329534 A CN 114329534A
- Authority
- CN
- China
- Prior art keywords
- internet
- target
- digital certificate
- things
- challenge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种权限确定方法、装置、计算机设备和计算机可读存储介质;在本申请实施例中,由于目标服务器和目标应用程序是属于同一个商家的,因此,目标服务器信任目标应用程序。当物联网设备采用认证公钥对目标数字证书的校验通过时,说明该目标数字证书为认证机构认证过的证书。因为认证机构是物联网设备信任的机构,所以物联网设备可以信任目标数字证书的内容,以便可以根据目标数字证书的内容和目标服务器发送的第一挑战值确定是否可以信任目标服务器,从而确定是否可以信任目标应用程序,进而使得即使控制设备上的目标应用程序不是物联网设备对应的应用程序,通过控制设备上的目标应用程序控制物联网设备时也可以保证安全性。
Description
技术领域
本发明涉及物联网设备技术领域,具体涉及一种权限确定方法、装置、计算机设备和计算机可读存储介质。
背景技术
随着科学技术的发展,物联网(Internet of Things,IOT)设备的应用越来越广泛。
目前,为了保证安全,一般是通过物联网设备的应用程序(Application)控制物联网设备,导致每增加一个物联网设备,用户需下载一个新的应用程序,比较麻烦。而如果通过其他应用程序控制物联网设备,无法保证安全性。
发明内容
本发明实施例提供一种权限确定方法、装置、计算机设备和计算机可读存储介质,当通过其他应用程序控制物联网设备时也可以保证安全性。
一种权限确定方法,应用于控制设备,包括:
接收目标服务器发送的目标数字证书,上述目标数字证书包括认证机构采用认证私钥对上述目标服务器认证后得到的证书;
将上述目标数字证书发送至物联网设备,以使上述物联网设备采用内置的认证公钥对上述目标数字证书进行校验,并在校验通过时,取得上述目标数字证书的内容;
接收上述物联网设备基于对上述目标数字证书校验通过后返回的第一挑战信息;
将上述第一挑战信息发送至上述目标服务器,以使上述目标服务器基于上述第一挑战信息生成第一挑战值;
接收上述目标服务器发送的上述第一挑战值,并将上述第一挑战值发送至上述物联网设备,以基于上述第一挑战值和上述目标数字证书的内容确定上述控制设备上的目标应用程序对上述物联网设备的控制权限。
一种权限确定方法,应用于物联网设备,包括:
接收控制设备发送的目标数字证书,上述目标数字证书为认证机构采用认证私钥对目标服务器认证后得到的证书;
采用内置的认证公钥对上述目标数字证书进行校验;
当校验通过时,取得上述目标数字证书的内容,并返回第一挑战信息至上述控制设备,以使上述控制设备将第一挑战信息发送至上述目标服务器,上述第一挑战信息用于指示上述目标服务器生成第一挑战值,并将上述第一挑战值返回至上述控制设备;
接收上述控制设备发送的上述第一挑战值;
基于上述第一挑战值和上述目标数字证书的内容确定上述控制设备上的目标应用程序对上述物联网设备的控制权限。
一种权限确定方法,应用于目标服务器,包括:
将目标数字证书发送至控制设备,以使得上述控制设备将上述目标数字证书发送至物联网设备,上述目标数字证书用于指示上述物联网设备进行校验,并在校验通过时,取得上述目标数字证书的内容,并返回第一挑战信息至上述控制设备,上述目标数字证书包括认证机构采用认证私钥对上述目标服务器认证后得到的证书;
接收上述控制设备发送的上述第一挑战信息;
基于上述第一挑战信息进生成第一挑战值;
将上述第一挑战值发送至上述控制设备,以使得上述控制设备将上述第一挑战值发送至上述物联网设备,上述第一挑战值和上述目标数字证书的内容用于上述物联网设备确定上述控制设备上的目标应用程序对上述物联网设备的控制权限。
相应地,本发明实施例提供一种权限确定装置,应用于控制设备,包括:
第一接收模块,用于接收目标服务器发送的目标数字证书,上述目标数字证书包括认证机构采用认证私钥对上述目标服务器认证后得到的证书;
第一发送模块,用于将上述目标数字证书发送至物联网设备,以使上述物联网设备采用内置的认证公钥对上述目标数字证书进行校验,并在校验通过时,取得上述目标数字证书的内容;
第二接收模块,用于接收上述物联网设备基于对上述目标数字证书校验通过后返回的第一挑战信息;
第二发送模块,用于将上述第一挑战信息发送至上述目标服务器,以使上述目标服务器基于上述第一挑战信息生成第一挑战值;
第三接收模块,用于接收上述目标服务器发送的上述第一挑战值,并将上述第一挑战值发送至上述物联网设备,以基于上述第一挑战值和上述目标数字证书的内容确定上述控制设备上的目标应用程序对上述物联网设备的控制权限。
相应地,本发明实施例提供一种权限确定装置,应用于物联网设备,包括:
第四接收模块,用于接收控制设备发送的目标数字证书,上述目标数字证书为认证机构采用认证私钥对目标服务器认证后得到的证书;
第一校验模块,用于采用内置的认证公钥对上述目标数字证书进行校验;
第三发送模块,用于当校验通过时,取得上述目标数字证书的内容,并发送第一挑战信息至上述控制设备,以使上述控制设备将第一挑战信息发送至上述目标服务器,上述第一挑战信息用于指示上述目标服务器生成第一挑战值,并将上述第一挑战值返回至上述控制设备;
第五接收模块,用于接收上述控制设备发送的第一挑战值;
确定模块,用于基于上述第一挑战值和上述目标数字证书的内容确定上述控制设备上的目标应用程序对上述物联网设备的控制权限。
相应地,本发明实施例提供一种权限确定装置,应用于目标服务器,包括:
第四发送模块,用于将目标数字证书发送至控制设备,以使得上述控制设备将上述目标数字证书发送至物联网设备,上述目标数字证书用于指示上述物联网设备进行校验,并在校验通过时,取得上述目标数字证书的内容,并返回第一挑战信息至上述控制设备,上述目标数字证书包括认证机构采用认证私钥对上述目标服务器认证后得到的证书;
第六接收模块,用于接收上述控制设备发送的上述第一挑战信息;
生成模块,用于基于上述第一挑战信息进生成第一挑战值;
第五发送模块,用于将上述第一挑战值发送至上述控制设备,以使得上述控制设备将上述第一挑战值发送至上述物联网设备,上述第一挑战值和上述目标数字证书的内容用于上述物联网设备确定上述控制设备上的目标应用程序对上述物联网设备的控制权限。
此外,本发明实施例还提供一种计算机设备,包括处理器和存储器,上述存储器存储有计算机程序,上述处理器用于运行上述存储器内的计算机程序实现本发明实施例提供的权限确定方法。
此外,本发明实施例还提供一种计算机可读存储介质,上述计算机可读存储介质存储有计算机程序,上述计算机程序适于处理器进行加载,以执行本发明实施例所提供的任一种权限确定方法中的步骤。
在本申请的实施例中,先接收目标服务器发送的目标数字证书,目标数字证书包括认证机构采用认证私钥对目标服务器认证后得到的证书。然后将目标数字证书发送至物联网设备,以使物联网设备采用内置的认证公钥对目标数字证书进行校验,并在校验通过时,取得目标数字证书的内容。接着,接收物联网设备基于对目标数字证书校验通过后返回的第一挑战信息。再将第一挑战信息发送至目标服务器,以使目标服务器基于第一挑战信息生成第一挑战值。最后接收目标服务器的上述第一挑战值,并将第一挑战值至物联网设备,以基于第一挑战值和目标数字证书的内容确定控制设备的目标应用程序对物联网设备的控制权限。
即在本申请实施例中,由于目标服务器和目标应用程序是属于同一个商家的,因此,目标服务器信任目标应用程序。当物联网设备采用认证公钥对目标数字证书的校验通过时,说明该目标数字证书为认证机构认证过的证书。因为认证机构是物联网设备信任的机构,所以物联网设备可以信任目标数字证书的内容,以便可以根据目标数字证书的内容和目标服务器发送的第一挑战值确定是否可以信任目标服务器,从而确定是否可以信任目标应用程序,进而使得即使控制设备上的目标应用程序不是物联网设备对应的应用程序,通过控制设备上的目标应用程序控制物联网设备时也可以保证安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的权限确定方法的流程示意图;
图2是本发明实施例提供的另一种权限确定方法的流程示意图;
图3是本发明实施例提供的另一种权限确定方法的流程示意图;
图4是本发明实施例提供的另一种权限确定方法的交互示意图;
图5是本发明实施例提供的权限确定装置的结构示意图;
图6是本发明实施例提供的另一种权限确定装置的结构示意图;
图7是本发明实施例提供的另一种权限确定装置的结构示意图;
图8是本发明实施例提供的计算机设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种权限确定方法、装置、计算机设备和计算机可读存储介质。其中,该权限确定装置可以集成在计算机设备中,该计算机设备可以是服务器,也可以是控制设备,也可以是物联网设备。
其中,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、网络加速服务(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
控制设备可以是智能手机、平板电脑、笔记本电脑以及台式计算机等,但并不局限于此。
物联网设备指可以与其他设备进行设备进行网络通信的设备,比如,可以是智能空调、智能音箱等设备。
服务器、控制设备以及物联网设备可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
以下分别进行详细说明。需要说明的是,以下实施例的描述顺序不作为对实施例优选顺序的限定。
相关技术中,对物联网设备进行控制的过程可以为:通过控制设备上的物联网设备对应的应用程序发送控制指令至物联网设备,物联网设备再执行控制指令对应的操作。
为了保证安全性,在通过控制设备上的物联网设备对应的应用程序控制物联网设备之前,会对物联网设备对应的应用程序的权限进行校验。校验的过程可以为:在控制设备上下载物联网设备对应的应用程序,将应用程序携带的私钥进行存储,在物联网设备上设置私钥对应的公钥,通过公钥确定控制设备的安全性。
然而,在控制设备上的存储的私钥容易被破解,当被破解时,没有权限的控制设备也可根据破解得到的私钥对物联网设备进行控制,从而导致不安全。
此外,如果用户想通过控制设备上的其他应用程序控制物联网设备,由于其他应用程序没有携带私钥(其他应用程序与物联网设备不属于同一个商家,所以物联网设备的商家不能将私钥设置在其他应用程序上),使得不能对控制设备上的其他应用程序的权限进行校验,从而使得存在安全性的问题。因此,相关技术中,还不能通过其他应用程序控制物联网设备。
为了解决上述的安全性的问题,本申请实施例提供了一种权限确定方法,在该方法中,先接收目标服务器发送的目标数字证书,目标数字证书包括认证机构采用认证私钥对目标服务器认证后得到的证书。然后将目标数字证书发送至物联网设备,以使物联网设备采用内置的认证公钥对目标数字证书进行校验,并在校验通过时,取得目标数字证书的内容。接着,接收物联网设备基于对目标数字证书校验通过后返回的第一挑战信息。再将第一挑战信息发送至目标服务器,以使目标服务器基于第一挑战信息生成第一挑战值。最后接收目标服务器的所述第一挑战值,并将第一挑战值至物联网设备,以基于第一挑战值和目标数字证书的内容确定控制设备上的目标应用程序对物联网设备的控制权限。
即在本申请实施例中,由于目标服务器和目标应用程序是属于同一个商家的,因此,目标服务器信任目标应用程序。当物联网设备采用认证公钥对目标数字证书的校验通过时,说明该目标数字证书为认证机构认证过的证书。因为认证机构是物联网设备信任的机构,所以物联网设备可以信任目标数字证书的内容,以便可以根据目标数字证书的内容和目标服务器发送的第一挑战值确定是否可以信任目标服务器,从而确定是否可以信任目标应用程序,进而使得即使控制设备上的目标应用程序不是物联网设备对应的应用程序,通过控制设备上的目标应用程序控制物联网设备时也可以保证安全性。
下面对本申请实施例提供的权限确定方法进行详细的描述。如图1所示,该权限确定方法的具体流程如下:
S101、接收目标服务器发送的目标数字证书,目标数字证书包括认证机构采用认证私钥对目标服务器认证后得到的证书。
其中,认证机构指电子商务认证中心(Certificate Authority,CA)。由于认证结构是受信任的第三方,因此,当认证结构对目标服务器进行认证后,说明认证机构信任目标服务器,则物联网设备可以信任目标服务器。
目标数字证书指一串能够表明目标服务器身份信息的数字。目标服务器先在认证机构上进行认证后,可以得到目标数字证书。
控制设备可以通过控制设备上的目标应用程序接收目标数字证书。目标应用程序指实际控制物联网设备的应用程序,目标应用程序可以为物联网设备的商家研发的应用程序,即物联网设备对应的应用程序,也可以其他商家研发的应用程序(由于当目标应用程序为物联网设备对应的应用程序时,应用本申请实施例提供的权限确定方法也可以提供控制物联网设备的安全性。因此,目标应用程序也可以为物联网设备对应的应用程序)。
应理解,在本申请的方法实施例中,控制设备可以通过目标应用程序实现与目标服务器和物联网设备之间的信息交互。比如,可以通过目标应用程序将目标数字证书发送至物联网设备,又比如,可以通过目标应用程序接收第一挑战信息并通过目标应用程序将第一挑战信息发送至目标服务器。
目标服务器可以为物联网设备的商家生产的初始服务器,则此时目标应用程序为物联网设备对应的应用程序。
或者,目标服务器也可以为其他商家(除了生产该物联网设备的商家之外的商家)的服务器,此时,目标应用程序为控制设备上的其他应用程序(其他应用程序指控制设备上已安装的除了物联网设备对应的应用程序之外的应用程序)。
比如,假如物联网设备为A商家生产的设备,物联网设备对应的应用程序为A应用程序。B商家研发了B应用程序,则目标服务器可以为B商家的服务器,目标应用程序可以为B应用程序。
当控制设备的用户想通过控制设备上的目标应用程序控制物联网设备时,用户可以对控制设备上的目标应用程序进行操作,使得控制设备的目标应用程序生成权限验证请求,并将该权限验证请求发送至目标服务器,目标服务器再基于该权限验证请求将目标数字证书发送至控制设备,控制设备从而接收到目标数字证书。
或者,也可以在用户安装完成目标应用程序时自动生成权限验证请求,并将该权限验证请求发送至目标服务器,目标服务器再基于该权限验证请求将目标数字证书发送至控制设备,控制设备从而接收到目标数字证书。
对于控制设备接收目标数字证书的时间,用户可以根据实际情况进行设置,本申请在此不做限定。
S102、将目标数字证书发送至物联网设备,以使物联网设备采用内置的认证公钥对目标数字证书进行校验,并在校验通过时,取得目标数字证书的内容。
当目标应用程序为控制设备上的其他应用程序时,由于其他应用程序对应的目标服务器为其他商家的服务器,因此,生产物联网设备的商家无法将物联网设备的私钥存储在目标服务器上。所以,可以先让物联网设备信任的认证机构采用认证私钥对目标服务器进行认证,然后在物联网设备上设置认证机构的认证公钥。
接着,控制设备在获取到目标数字证书后,再将该目标数字证书发送至物联网设备,使得物联网设备采用内置的认证公钥对目标数字证书进行校验。如果校验通过,说明该目标数字证书是认证机构认证过的证书,即说明物联网设备可以信任该目标数字证书的内容。
目标数字证书的内容可以包括但不限于目标服务器的身份信息、认证机构的信息以及目标服务器的第一公钥等信息。
S103、接收物联网设备基于对目标数字证书校验通过后返回的第一挑战信息。
物联网设备在对目标数字证书校验通过后,将第一挑战信息返回至控制设备,控制设备从而接收到第一挑战信息。其中,第一挑战信息可以为一串随机字符串。
应理解,物联网设备在对目标证书校验通过后,也可以不将第一挑战信息返回至控制设备,当接收到控制设备发送的挑战信息获取请求时,如果对目标证书校验通过,再将第一挑战信息返回至控制设备。控制设备可以将挑战信息获取请求和目标数字证书一起发送至物联网设备。或者,控制设备也可以先将目标数字证书发送至物联网设备,然后再将挑战信息获取请求发送至物联网设备。
物联网设备可以在对目标数字证书校验通过时生成该第一挑战信息并返回该第一挑战信息。或在,物联网设备也可以先生成第一挑战信息,然后在对目标数字证书校验通过时返回该第一挑战信息。对于物联网设备生成第一挑战信息的时间,用户可以根据实际情况进行选择,本申请在此不做限定。
S104、将第一挑战信息发送至目标服务器,以使目标服务器基于第一挑战信息生成第一挑战值。
控制设备接收到第一挑战信息后,将第一挑战信息发送至目标服务器,使得目标服务器基于第一挑战信息生成第一挑战值。
可选地,目标服务器可以是采用目标服务器的第一私钥对第一挑战信息进行签名,从而得到第一挑战值。
或者,目标服务器可以采用预设的加密算法对第一挑战信息进行加密,从而得到第一挑战值。此时,目标数字证书的内容包括预设的加密算法对应的解密算法。
需要说明的是,由于目标应用程序与目标服务器是属于同一商家的,因此,目标服务器可以信任该目标应用程序。因此,当目标服务器接收到第一挑战信息之后,可以不对目标应用程序进行校验。
或者,为了进一步保证安全,目标服务器也可以校验控制设备的权限,即校验控制设备的目标应用程序的权限。当校验通过后,目标服务器再基于第一挑战信息生成第一挑战值。
对于目标服务器校验目标应用程序的权限的方法,用户可以根据实际情况进行选择。比如,可以通过目标应用程序将令牌和第一挑战信息一起发送至目标服务器,目标服务器接收到后,将令牌与本身存储的令牌进行比对,如果该令牌与本身存储的令牌相同,则对目标应用程序的校验通过。
又比如,控制设备和目标服务器均可以根据预设规则生成随机数,然后控制设备采用存储的公钥对随机数进行加密,并通过目标应用程序将加密后的随机数和第一挑战信息一起发送至目标服务器。目标服务器接收到后,采用存储的私钥对随机数进行解密,并将解密后的随机数与根据预设规则生成的随机数进行比对,如果解密后的随机数与根据预设规则生成的随机数相同,则对目标应用程序的校验通过。本申请在此不做具体限定。
S105、接收目标服务器发送的第一挑战值,并将第一挑战值发送至物联网设备,以基于第一挑战值和目标数字证书的内容确定控制设备上的目标应用程序对物联网设备的控制权限。
控制设备接收到目标服务器发送的第一挑战值之后,将第一挑战值发送至物联网设备,使得物联网设备基于第一挑战值和目标数字证书的内容确定控制设备上的目标应用程序对物联网设备的控制权限。
其中,基于第一挑战值和目标数字证书的内容确定控制设备上的目标应用程序对物联网设备的控制权限的过程可以为:
因为物联网设备信任目标数字证书的内容,所以当物联网设备采用目标数字证书的内容对第一挑战值的校验通过时且校验通过时得到的第一挑战信息与物联网设备发送的第一挑战信息相同时,说明物联网设备可以信任目标服务器,而目标服务器信任目标应用程序,所以,此时物联网设备可以将该目标应用程序标记为具备对物联网设备的控制权限的应用程序。
当采用目标数字证书的内容对第一挑战值的校验不通过时,说明物联网设备不可以信任目标服务器,则将该目标应用程序标记为不具备对物联网设备的控制权限的应用程序。
可选地,当目标服务器采用目标服务器的第一私钥对第一挑战信息进行签名,得到第一挑战值且目标数字证书的内容包括目标服务器的第一公钥时,采用目标数字证书的内容对第一挑战值进行校验的过程可以为:采用第一公钥对第一挑战值进行校验。
又或者,当目标服务器采用预设的加密算法对第一挑战信息进行加密,得到第一挑战值且目标数字证书的内容包括预设的加密算法对应的解密算法时,采用目标数字证书的内容对第一挑战值进行校验的过程可以为:采用解密算法对第一挑战值进行解密。
由以上可知,本申请实施例提供了一种权限确定方法,在该方法中,先接收目标服务器发送的目标数字证书,目标数字证书包括认证机构采用认证私钥对目标服务器认证后得到的证书。然后将目标数字证书发送至物联网设备,以使物联网设备采用内置的认证公钥对目标数字证书进行校验,并在校验通过时,取得目标数字证书的内容。接着,接收物联网设备基于对目标数字证书校验通过后返回的第一挑战信息。再将第一挑战信息发送至目标服务器,以使目标服务器基于第一挑战信息生成第一挑战值。最后接收目标服务器的所述第一挑战值,并将第一挑战值至物联网设备,以基于第一挑战值和目标数字证书的内容确定控制设备上的目标应用程序对物联网设备的控制权限。
即在本申请实施例中,由于目标服务器和目标应用程序是属于同一个商家的,因此,目标服务器信任目标应用程序。当物联网设备采用认证公钥对目标数字证书的校验通过时,说明该目标数字证书为认证机构认证过的证书。因为认证机构是物联网设备信任的机构,所以物联网设备可以信任目标数字证书的内容,以便可以根据目标数字证书的内容和目标服务器发送的第一挑战值确定是否可以信任目标服务器,从而确定是否可以信任目标应用程序,进而使得即使控制设备上的目标应用程序不是物联网设备对应的应用程序,通过控制设备上的目标应用程序控制物联网设备时也可以保证安全性。
在一些实施例中,目标数字证书包括第一数字证书,第一数字证书可以为认证机构采用认证私钥对目标服务器的第一公钥认证后得到的证书。
相应地,将目标数字证书发送至物联网设备,以使物联网设备采用内置的认证公钥对目标数字证书进行校验,并在校验通过时,取得目标数字证书的内容,包括:
将第一数字证书发送至物联网设备,以使物联网设备采用内置的认证公钥对第一数字证书进行校验,并在校验通过时,取得目标服务器的第一公钥。
接收物联网设备基于对目标数字证书校验通过后返回的第一挑战信息,包括:
接收物联网设备基于对第一数字证书校验通过后返回的第一挑战信息。
将第一挑战信息发送至所述目标服务器,以使目标服务器基于第一挑战信息生成第一挑战值,包括:
将第一挑战信息发送至目标服务器,以使目标服务器采用目标服务器的第一私钥对第一挑战信息进行签名,得到第一挑战值。
接收目标服务器发送的第一挑战值,并将第一挑战值发送至物联网设备,以基于第一挑战值和目标数字证书的内容确定控制设备上的目标应用程序对物联网设备的控制权限,包括:
接收目标服务器发送的第一挑战值,并将第一挑战值发送至物联网设备,以使物联网设备采用第一公钥对第一挑战值进行校验,并在校验通过时,将控制设备上的目标应用程序标记为具备对物联网设备的控制权限的应用程序。
在本实施例中,认证机构采用认证私钥对目标服务器的第一公钥进行签名,得到第一数字证书。物联网设备采用认证公钥对第一数字证书进行校验后,如果校验通过,则可以得到第一公钥,并且说明物联网设备可以信任第一公钥。然后物联网设备再采用第一公钥对采用第一私钥签名后得到的第一挑战值进行校验,如果校验通过,说明物联网设备可以信任目标服务器,而目标服务器信任目标应用程序,所以物联网设备可以信任目标应用程序,即将目标应用程序标记为具备对物联网设备的控制权限的应用程序。
需要说明的是,当物联网设备采用第一公钥对第一挑战值校验通过时,也可以将第一数字证书标为为具备权限的证书。
虽然物联网设备校验了控制设备的目标应用程序的权限,但是,目标应用程序还没校验物联网设备的权限。因此,在另一些实施例中,将目标数字证书发送至物联网设备,包括:
控制设备先向物联网设备发送证书获取请求。物联网设备收到证书获取请求后,基于证书获取请求返回的第二数字证书。然后控制设备接收第二数字证书,第二数字证书为认证机构采用认证私钥对物联网设备的第二公钥进行签名后得到的证书。
接着,控制设备采用内置的认证公钥对第二数字证书进行校验,在校验通过时,取得物联网设备的第二公钥。
控制设备再生成第二挑战信息,并将第二挑战信息发送至物联网设备,以使物联网设备基于第二挑战信息生成第二挑战值。
最后,控制设备接收第二挑战值,并根据第二公钥对第二挑战值进行校验。当校验通过时,说明该物联网设备是可以信任的,则将目标数字证书发送至物联网设备。
应理解,在目标应用程对物联网设备的权限的校验过程中,控制设备也可以通过目标应用程序实现与物联网设备的信息交互。控制设备在对第二挑战值校验的同时,还可以校验物联网设备的设备信息。设备信息包括但不限于物联网设备的商家标识、物联网设备的设备标识以及物联网设备的序列号等。
物联网设备基于第二挑战信息生成第二挑战值的过程可以为:物联网设备采用第二私钥对第二挑战信息进行签名,得到第二挑战值。
在本实施例中,控制设备信任认证机构。在物联网设备中内置认证公钥,并采用认证公钥对采用认证私钥签名后的第二数字证书进行校验,如果校验通过,则可以得到第二公钥,并说明第二数字证书为认证机构认证过的证书,即说明控制设备可以信任第二公钥。当控制设备采用第二公钥对第二挑战值的校验通过时,说明控制设备可以信任物联网设备,即说明控制设备上的目标应用程序可以信任物联网设备。
控制设备在与物联网设备进行信息交互之前,控制设备需先与物联网设备建立连接。控制设备与物联网设备建立连接的过程可以为:接收物联网设备广播的待配网信息。根据待配网信息与物联网设备建立连接。基于连接将目标数字证书发送至物联网设备。
物联网设备可以通过蓝牙广播待配网信息,或者,物联网设备也通过软无线接入点(SoftAP)广播待配网信息。
待配网信息包括但不限于物联网设备的商家标识、物联网设备的设备标识,物联网设备的序列号以及媒体存取控制位址(Media Access Control Address,MAC)等。
控制设备接收到待配网信息之后,将待配网信息进行显示,以便用户可以了解到该待配网信息。用户对显示的待配网信息进行选择,控制设备响应于用户的选择操作,与待配网信息对应的物联网设备建立连接。后续控制设备与物联网设备之间的信息交互,可以通过该连接进行。比如,通过该连接将目标数字证书发送至物联网设备,又比如,通过该连接接收物联网设备发送的第一挑战信息。
需要说明的是,在控制设备与物联网设备建立连接的过程中,为了保证安全性,还可以提示用户输入物联网设备的识别码(Personal Identification Number,PIN)
当控制设备通过SoftAP与物联网设备建立连接后,控制设备无法使用网络,即此时控制设备属于离线状态,即控制设备无法将第一挑战信息发送至目标服务器。因此,当控制设备可以在接收到第一挑战信息后,或者在对第二挑战值的校验通过后,控制设备可以连接至路由器,并将路由器的服务集标识(Service Set Identifier,SSID)和密码发送至物联网设备,物联网设备基于该服务集标识和密码连接至路由器。然后控制设备再通过路由器将第一挑战信息发送至目标服务器,通过路由器接收目标服务器发送的第一挑战值,以及通过路由器将第一挑战值发送至物联网设备。
此外,在将目标应用程序标记为具备对物联网设备的控制权限的应用程序之后,控制设备可以基于该路由器,通过目标应用程序发送控制指令至物联网设备,以使物联网设备执行与控制指令对应的操作。
或者,如果控制设备与物联网设备建立的是蓝牙连接,则控制设备基于基于蓝牙连接,通过目标应用程序发送控制指令至物联网设备,以使物联网设备执行与控制指令对应的操作。
其中,物联网设备执行与控制指令对应的操作的过程可以为:物联网设备先查看控制指令中携带的目标应用程序的标记,如果该目标应用程序已经被标记为具备控制权限的应用程序,则物联网设备可以执行与控制指令对应的操作。
或者,控制设备可以基于该路由器或蓝牙连接,将第一数字证书和控制指令一起发送至物联网设备,物联网设备接收到之后,由于之前已经对第一数字证书进行校验,因此,当接收到第一数字证书时可以执行控制指令对应的操作。
在另一些实施例中,在将控制设备上的目标应用程序标记为具备对物联网设备的控制权限的应用程序之后,控制设备可以连接到路由器,并将路由器的服务集标识(Service Set Identifier,SSID)和密码发送至物联网设备,物联网设备基于该服务集标识和密码连接至路由器。或者,控制设备和物联网设备可以建立蓝牙连接。最后控制设备基于路由器或蓝牙连接控制物联网设备。
其中,控制设备控制物联网设备的过程可以为:通过目标应用程序将控制指令发送至物联网设备。物联网设备接收后,查看目标应用程序的标记。如果目标应用程序的标记为具备控制权限的应用程序,物联网设备则执行控制指令对应的操作。
或者,控制设备控制物联网设备的过程也可以为:当控制设备对物联网设备的权限的校验通过时,控制设备可以通过目标应用程序将控制权限信息(Access ControlList,ACL)发送至物联网设备中,物联网设备如果还没校验控制设备上的目标应用程序,则将该控制权限信息标记为不信任,如果物联网设备对目标应用程序的校验通过时,则将控制权限信息标记为信任并进行存储。
然后控制设备可以将控制指令和控制权限信息一起发送至物联网设备。物联网设备在接收到控制指令和控制权限信息后,将接收的控制权限信息与存储的控制权限信息比对,如果接收的控制权限信息与存储的控制权限信息相同,则执行控制指令对应的操作。
下面对本申请实施例提供的另一种权限确定方法进行详细的描述。如图2所示,该权限确定方法的具体流程如下:
S201、接收控制设备发送的目标数字证书,目标数字证书为认证机构采用认证私钥对目标服务器认证后得到的证书。
其中,认证机构指电子商务认证中心(Certificate Authority,CA)。由于认证结构是受信任的第三方,因此,当认证结构对目标服务器进行认证后,说明认证机构信任目标服务器,则物联网设备可以信任目标服务器。
目标数字证书指一串能够表明目标服务器身份信息的数字。目标服务器先在认证机构上进行认证后,可以得到目标数字证书。然后目标服务器再将目标数字证书发送给控制设备。
控制设备可以通过控制设备上的目标应用程序接收目标数字证书。目标应用程序指实际控制物联网设备的应用程序,目标应用程序可以为物联网设备的商家研发的应用程序,即物联网设备对应的应用程序,也可以其他商家研发的应用程序(由于当目标应用程序为物联网设备对应的应用程序时,应用本申请实施例提供的权限确定方法也可以提供控制物联网设备的安全性。因此,目标应用程序也可以为物联网设备对应的应用程序)。
目标服务器可以为物联网设备的商家生产的初始服务器,则此时目标应用程序为物联网设备对应的应用程序。
或者,目标服务器也可以为其他商家(除了生产该物联网设备的商家之外的商家)的服务器,此时,目标应用程序为控制设备上的其他应用程序(其他应用程序指控制设备上已安装的除了物联网设备对应的应用程序之外的应用程序)。
比如,假如物联网设备为A商家生产的设备,物联网设备对应的应用程序为A应用程序。B商家研发了B应用程序,则目标服务器可以为B商家的服务器,目标应用程序可以为B应用程序。
当控制设备的用户想通过控制设备上的目标应用程序控制物联网设备时,用户可以对控制设备上的目标应用程序进行操作,使得控制设备将目标数字证书发送至物联网设备,物联网设备从而接收到目标数字证书。
S202、采用内置的认证公钥对目标数字证书进行校验。
物联网设备在接收到目标数字证书之后,采用内置的认证公钥对目标数字证书进行校验。
S203、当校验通过时,取得目标数字证书的内容,并返回第一挑战信息至控制设备,以使控制设备将第一挑战信息发送至目标服务器,第一挑战信息用于指示目标服务器生成第一挑战值,并将第一挑战值返回至控制设备。
如果校验通过,说明该目标数字证书是认证机构认证过的证书,即说明物联网设备可以信任该目标数字证书的内容。则将第一挑战信息发送至控制设备,控制设备再将第一挑战信息发送至目标服务器。
目标服务器接收到第一挑战信息后,可以采用目标服务器的第一私钥对第一挑战信息进行签名,从而得到第一挑战值。
或者,目标服务器可以采用预设的加密算法对第一挑战信息进行加密,从而得到第一挑战值。此时,目标数字证书的内容包括预设的加密算法对应的解密算法。
目标数字证书的内容可以包括但不限于目标服务器的身份信息、认证机构的信息以及目标服务器的第一公钥等信息。第一挑战信息可以为一串随机字符串。
物联网设备可以在对目标数字证书校验通过时生成该第一挑战信息并返回该第一挑战信息。或在,物联网设备也可以先生成第一挑战信息,然后在对目标数字证书校验通过时返回该第一挑战信息。对于物联网设备生成第一挑战信息的时间,用户可以根据实际情况进行选择,本申请在此不做限定。
S204、接收控制设备发送的第一挑战值。
目标服务器将第一挑战值发送至控制设备之后,控制设备再将第一条挑战值发送给物联网设备,物联网设备从而接收到第一挑战值。
S205、基于第一挑战值和目标数字证书的内容确定控制设备上的目标应用程序对物联网设备的控制权限。
因为物联网设备信任目标数字证书的内容,所以当采用目标数字证书的内容对第一挑战值的校验通过且校验通过时得到的第一挑战信息与物联网设备发送的第一挑战信息相同时,说明物联网设备可以信任目标服务器,而目标服务器信任目标应用程序,所以,此时物联网设备可以将该目标应用程序标记为具备对物联网设备的控制权限的应用程序。
需要说明的是,当校验通过时,也可以将目标数字证书标为为具备权限的证书。
当采用目标数字证书的内容对第一挑战值的校验不通过时,说明物联网设备不可以信任目标服务器,则将该目标应用程序标记为不具备对物联网设备的控制权限的应用程序。
可选地,当目标服务器采用目标服务器的第一私钥对第一挑战信息进行签名,得到第一挑战值且目标数字证书的内容包括目标服务器的第一公钥时,采用目标数字证书的内容对第一挑战值进行校验的过程可以为:采用第一公钥对第一挑战值进行校验。
又或者,当目标服务器采用预设的加密算法对第一挑战信息进行加密,得到第一挑战值且目标数字证书的内容包括预设的加密算法对应的解密算法时,采用目标数字证书的内容对第一挑战值进行校验的过程可以为:采用解密算法对第一挑战值进行解密。
在本实施例中,物联网设备先接收控制设备发送的目标数字证书,目标数字证书为认证机构采用认证私钥对目标服务器认证后得到的证书。然后,物联网设备采用内置的认证公钥对目标数字证书进行校验。当校验通过时,物联网色好吧取得目标数字证书的内容,并返回第一挑战信息至控制设备,以使控制设备将第一挑战信息发送至目标服务器,第一挑战信息用于指示目标服务器生成第一挑战值,并将第一挑战值返回至控制设备。物联网设备接收控制设备发送的第一挑战值,最后基于第一挑战值和目标数字证书的内容确定控制设备上的目标应用程序对物联网设备的控制权限。
即在本实施例中,由于目标服务器和目标应用程序是属于同一个商家的,因此,目标服务器信任目标应用程序。当物联网设备采用认证公钥对目标数字证书的校验通过时,说明该目标数字证书为认证机构认证过的证书。因为认证机构是物联网设备信任的机构,所以物联网设备可以信任目标数字证书的内容,以便可以根据目标数字证书的内容和目标服务器发送的第一挑战值确定是否可以信任目标服务器,从而确定是否可以信任目标应用程序,进而使得即使控制设备上的目标应用程序不是物联网设备对应的应用程序,通过控制设备上的目标应用程序控制物联网设备时也可以保证安全性。
本实施例中的其他实现过程以及对应的有益效果,可以参照上述的方法实施例,本实施在此不再赘述。
下面对本申请实施例提供的另一种权限确定方法进行详细的描述。如图3所示,该权限确定方法的具体流程如下:
S301、将目标数字证书发送至控制设备,以使得控制设备通将目标数字证书发送至物联网设备,目标数字证书用于指示物联网设备进行校验,并在校验通过时,取得目标数字证书的内容,并返回第一挑战信息至控制设备,目标数字证书包括认证机构采用认证私钥对目标服务器认证后得到的证书。
其中,认证机构指电子商务认证中心(Certificate Authority,CA)。由于认证结构是受信任的第三方,因此,当认证结构对目标服务器进行认证后,说明认证机构信任目标服务器,则物联网设备可以信任目标服务器。
目标数字证书指一串能够表明目标服务器身份信息的数字。目标服务器先在认证机构上进行认证后,可以得到目标数字证书。然后目标服务器再将目标数字证书发送至控制设备。
控制设备可以通过控制设备上的目标应用程序接收目标数字证书。目标应用程序指实际控制物联网设备的应用程序,目标应用程序可以为物联网设备的商家研发的应用程序,即物联网设备对应的应用程序,也可以其他商家研发的应用程序(由于当目标应用程序为物联网设备对应的应用程序时,应用本申请实施例提供的权限确定方法也可以提供控制物联网设备的安全性。因此,目标应用程序也可以为物联网设备对应的应用程序)。
目标服务器可以为物联网设备的商家生产的初始服务器,则此时目标应用程序为物联网设备对应的应用程序。
或者,目标服务器也可以为其他商家(除了生产该物联网设备的商家之外的商家)的服务器,此时,目标应用程序为控制设备上的其他应用程序(其他应用程序指控制设备上已安装的除了物联网设备对应的应用程序之外的应用程序)。
比如,假如物联网设备为A商家生产的设备,物联网设备对应的应用程序为A应用程序。B商家研发了B应用程序,则目标服务器可以为B商家的服务器,目标应用程序可以为B应用程序。
当控制设备的用户想通过控制设备上的目标应用程序控制物联网设备时,用户可以对控制设备上的目标应用程序进行操作,使得控制设备的目标应用程序生成权限验证请求,并将该权限验证请求发送至目标服务器,目标服务器再基于该权限验证请求将目标数字证书发送至控制设备。
或者,也可以在用户安装完成目标应用程序时自动生成权限验证请求,并将该权限验证请求发送至目标服务器,目标服务器再基于该权限验证请求将目标数字证书发送至控制设备。
对于目标服务器发送目标数字证书的时间,用户可以根据实际情况进行设置,本申请在此不做限定。
物联网设备在接收到目标数字证书之后,采用内置的认证公钥对目标数字证书进行校验。如果校验通过,说明该目标数字证书是认证机构认证过的证书,即说明物联网设备可以信任该目标数字证书的内容。则将第一挑战信息返回至控制设备,控制设备从而接收到第一挑战信息。其中,第一挑战信息可以为一串随机字符串。
物联网设备可以在对目标数字证书校验通过时生成该第一挑战信息并返回该第一挑战信息。或在,物联网设备也可以先生成第一挑战信息,然后在对目标数字证书校验通过时返回该第一挑战信息。对于物联网设备生成第一挑战信息的时间,用户可以根据实际情况进行选择,本申请在此不做限定。
目标数字证书的内容可以包括但不限于目标服务器的身份信息、认证机构的信息以及目标服务器的第一公钥等信息。
S302、接收控制设备发送的第一挑战信息。
控制设备在接收到第一挑战信息之后,将第一挑战信息发送至目标服务器,目标服务器从而接收到第一挑战信息。
S303、基于第一挑战信息进生成第一挑战值。
基于第一挑战信息进生成第一挑战值的过程可以为:目标服务器可以是采用目标服务器的第一私钥对第一挑战信息进行签名,从而得到第一挑战值。
或者,目标服务器可以采用预设的加密算法对第一挑战信息进行加密,从而得到第一挑战值。此时,目标数字证书的内容包括预设的加密算法对应的解密算法。
需要说明的是,由于目标应用程序与目标服务器是属于同一商家的,因此,目标服务器可以信任该目标应用程序。因此,当目标服务器接收到第一挑战信息之后,可以不对目标应用程序进行校验。
或者,为了进一步保证安全,目标服务器也可以校验控制设备的权限,即校验控制设备的目标应用程序的权限。当校验通过后,目标服务器再基于第一挑战信息生成第一挑战值。
对于目标服务器校验目标应用程序的权限的方法,用户可以根据实际情况进行选择。比如,可以通过目标应用程序将令牌和第一挑战信息一起发送至目标服务器,目标服务器接收到后,将令牌与本身存储的令牌进行比对,如果该令牌与本身存储的令牌相同,则对目标应用程序的校验通过。
又比如,控制设备和目标服务器均可以根据预设规则生成随机数,然后控制设备采用存储的公钥对随机数进行加密,并通过目标应用程序将加密后的随机数和第一挑战信息一起发送至目标服务器。目标服务器接收到后,采用存储的私钥对随机数进行解密,并将解密后的随机数与根据预设规则生成的随机数进行比对,如果解密后的随机数与根据预设规则生成的随机数相同,则对目标应用程序的校验通过。本申请在此不做具体限定。
S304、将第一挑战值发送至控制设备,以使得控制设备将第一挑战值发送至物联网设备,第一挑战值和目标数字证书的内容用于物联网设备确定控制设备上的目标应用程序对物联网设备的控制权限。
物联网设备基于第一挑战值和目标数字证书的内容确定控制设备上的目标应用程序对物联网设备的控制权限的过程可以为:
因为物联网设备信任目标数字证书的内容,所以当采用目标数字证书的内容对第一挑战值的校验通过且校验通过时得到的第一挑战信息与物联网设备发送的第一挑战信息相同时,说明物联网设备可以信任目标服务器,而目标服务器信任目标应用程序,所以,此时物联网设备可以将该目标应用程序标记为具备对物联网设备的控制权限的应用程序。
需要说明的是,当校验通过时,也可以将目标数字证书标为为具备权限的证书。
当采用目标数字证书的内容对第一挑战值的校验不通过时,说明物联网设备不可以信任目标服务器,则物联网设备将该目标应用程序标记为不具备对物联网设备的控制权限的应用程序。
可选地,当目标服务器采用目标服务器的第一私钥对第一挑战信息进行签名,得到第一挑战值且目标数字证书的内容包括目标服务器的第一公钥时,采用目标数字证书的内容对第一挑战值进行校验的过程可以为:采用第一公钥对第一挑战值进行校验。
又或者,当目标服务器采用预设的加密算法对第一挑战信息进行加密,得到第一挑战值且目标数字证书的内容包括预设的加密算法对应的解密算法时,采用目标数字证书的内容对第一挑战值进行校验的过程可以为:采用解密算法对第一挑战值进行解密。
由以上可知,本申请实施例提供了一种权限确定方法,在该方法中,目标服务器先将目标数字证书发送至控制设备,以使得控制设备通将目标数字证书发送至物联网设备,目标数字证书用于指示物联网设备进行校验,并在校验通过时,取得目标数字证书的内容,并返回第一挑战信息至控制设备,目标数字证书包括认证机构采用认证私钥对目标服务器认证后得到的证书。然后,目标服务器接收控制设备发送的第一挑战信息。接着,目标服务器基于第一挑战信息进生成第一挑战值。最后目标服务器将第一挑战值发送至控制设备,以使得控制设备将第一挑战值发送至物联网设备,第一挑战值和目标数字证书的内容用于物联网设备确定控制设备上的目标应用程序对物联网设备的控制权限。
即在本申请实施例中,由于目标服务器和目标应用程序是属于同一个商家的,因此,目标服务器信任目标应用程序。当物联网设备采用认证公钥对目标数字证书的校验通过时,说明该目标数字证书为认证机构认证过的证书。因为认证机构是物联网设备信任的机构,所以物联网设备可以信任目标数字证书的内容,以便可以根据目标数字证书的内容和目标服务器发送的第一挑战值确定是否可以信任目标服务器,从而确定是否可以信任目标应用程序,进而使得即使控制设备上的目标应用程序不是物联网设备对应的应用程序,通过控制设备上的目标应用程序控制物联网设备时也可以保证安全性。
本实施例中的其他实现过程以及对应的有益效果,可以参照上述的方法实施例,本实施在此不再赘述。
下面描述本申请提供的另一种权限的确定方法。参照图4,该权限确定方法包括:
目标服务器将第一数字证书发送至控制设备,第一数字证书为认证机构采用认证私钥对目标服务器的第一公钥认证后得到的证书。物联网设备广播待配网信息,控制设备接收到待配网信息之后,根据待配网信息与物联网设备建立连接。
控制设备通过目标应用程序向物联网设备发送证书获取请求。物联网设备基于证书获取请求返回第二数字证书至控制设备,第二数字证书为认证机构采用认证私钥对物联网设备的第二公钥进行签名后得到的证书。
控制设备采用内置的认证公钥对第二数字证书进行校验,在校验通过时,取得物联网设备的第二公钥,并生成第二挑战信息,并通过目标应用程序将第二挑战信息发送至物联网设备。
物联网设备采用第二私钥对第二挑战信息进行签名,得到第二挑战值,并将第二挑战值发送至控制设备。控制设备根据第二公钥对第二挑战值进行校验。当校验通过时,与路由器建立连接,并将连接的路由器的服务集标识和密码发送至物联网设备。
物联网设备连接到该路由器后,控制设备基于该路由器,通过目标应用程序发送控制指令至物联网设备。此时,物联网设备还未校验目标应用程序的权限,因此,响应出现错误并将错误信息发送至控制设备。
控制设备接收到错误信息后,通过目标应用程序将第一数字证书和挑战信息获取请求发送至物联网设备。物联网设备采用内置的认证公钥对第一数字证书进行校验,在校验通过时,取得目标服务器的第一公钥,并基于挑战信息获取请求返回第一挑战信息至控制设备。
控制设备将第一挑战信息发送至目标服务器。目标服务器采用第一私钥对第一挑战信息进行签名,得到第一挑战值,并将第一挑战值发送至控制设备。控制设备将第一挑战值发送至物联网设备。
物联网设备采用第一公钥对第一挑战值进行校验。校验通过时,取得校验第一挑战信息,如果校验的第一挑战信息与发送的第一挑战信息进行比对,则将第一数字证书标记为具备控制权限的证书。
控制设备通过目标应用程序发送控制指令和第一数字证书至物联网设备。由于第一数字证书为具备控制权限的证书,因此,物联网设备执行控制指令对应的操作。
本实施例中的名词的含义与上述权限确定方法中相同,具体实现细节可以参考上述方法实施例中的说明。
为了更好地实施以上方法,本发明实施例还提供一种权限确定装置,该权限确定装置应用于控制设备中,例如,如图5所示,该权限确定装置可以包括:
第一接收模块501,用于接收目标服务器发送的目标数字证书,目标数字证书包括认证机构采用认证私钥对目标服务器认证后得到的证书。
第一发送模块502,用于将目标数字证书发送至物联网设备,以使物联网设备采用内置的认证公钥对目标数字证书进行校验,并在校验通过时,取得目标数字证书的内容。
第二接收模块503,用于接收物联网设备基于对目标数字证书校验通过后返回的第一挑战信息。
第二发送模块504,用于将第一挑战信息发送至目标服务器,以使目标服务器基于第一挑战信息生成第一挑战值。
第三接收模块505,用于接收目标服务器发送的第一挑战值,并将第一挑战值发送至物联网设备,以基于第一挑战值和目标数字证书的内容确定控制设备上的目标应用程序对物联网设备的控制权限。
可选地,目标数字证书包括第一数字证书,第一数字证书为认证机构采用认证私钥对目标服务器的第一公钥认证后得到的证书。
相应地,第一发送模块502具体用于执行:
将第一数字证书发送至物联网设备,以使物联网设备采用内置的认证公钥对第一数字证书进行校验,并在校验通过时,取得目标服务器的第一公钥。
第二接收模块503具体用于执行:
接收物联网设备基于对第一数字证书校验通过后返回的第一挑战信息。
第二发送模块504具体用于执行:
将第一挑战信息发送至目标服务器,以使目标服务器采用目标服务器的第一私钥对第一挑战信息进行签名,得到第一挑战值。
第三接收模块505具体用于执行:
接收目标服务器发送的第一挑战值,并将第一挑战值发送至物联网设备,以使物联网设备采用第一公钥对第一挑战值进行校验,并在校验通过时,将目标应用程序标记为具备对物联网设备的控制权限的应用程序。
可选地,第一发送模块502具体用于执行:
向物联网设备发送证书获取请求;
接收物联网设备基于证书获取请求返回的第二数字证书,第二数字证书为认证机构采用认证私钥对物联网设备的第二公钥进行签名后得到的证书;
采用内置的认证公钥对第二数字证书进行校验,在校验通过时,取得物联网设备的第二公钥;
生成第二挑战信息,并将第二挑战信息发送至物联网设备,以使物联网设备基于第二挑战信息生成第二挑战值;
接收第二挑战值,并根据第二公钥对第二挑战值进行校验;
当校验通过时,将目标数字证书发送至物联网设备。
可选地,第一发送模块502具体用于执行:
接收物联网设备广播的待配网信息;
根据待配网信息与物联网设备建立连接;
基于连接将目标数字证书发送至物联网设备。
可选地,权限确定装置还包括:
指令发送模块,用于通过目标应用程序发送控制指令至物联网设备,以使物联网设备执行与控制指令对应的操作。
具体实施时,以上各个模块可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个模块的具体实施方法以及对应的有益效果可参见前面的方法实施例,在此不再赘述。
为了更好地实施以上方法,本发明实施例还提供一种权限确定装置,该权限确定装置应用于物联网设备中,例如,如图6所示,该权限确定装置可以包括:
第四接收模块601,用于接收控制设备发送的目标数字证书,目标数字证书为认证机构采用认证私钥对目标服务器认证后得到的证书。
第一校验模块602,用于采用内置的认证公钥对目标数字证书进行校验。
第三发送模块603,用于当校验通过时,取得目标数字证书的内容,并发送第一挑战信息至控制设备,以使控制设备将第一挑战信息发送至目标服务器,第一挑战信息用于指示目标服务器生成第一挑战值,并将第一挑战值返回至控制设备。
第五接收模块604,用于接收控制设备发送的第一挑战值。
确定模块605,用于基于第一挑战值和目标数字证书的内容确定控制设备上的目标应用程序对物联网设备的控制权限。
具体实施时,以上各个模块可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个模块的具体实施方式以及对应的有益效果可参见前面的方法实施例,在此不再赘述。
为了更好地实施以上方法,本发明实施例还提供一种权限确定装置,该权限确定装置应用于目标服务器中,例如,如图7所示,该权限确定装置可以包括:
第四发送模块701,用于将目标数字证书发送至控制设备,以使得控制设备将目标数字证书发送至物联网设备,目标数字证书用于指示物联网设备进行校验,并在校验通过时,取得目标数字证书的内容,并返回第一挑战信息至控制设备,目标数字证书包括认证机构采用认证私钥对目标服务器认证后得到的证书。
第六接收模块702,用于接收控制设备发送的第一挑战信息。
生成模块703,用于基于第一挑战信息进生成第一挑战值。
第五发送模块,用于将第一挑战值发送至控制设备,以使得控制设备将第一挑战值发送至物联网设备,第一挑战值和目标数字证书的内容用于物联网设备确定控制设备上的目标应用程序对物联网设备的控制权限。
具体实施时,以上各个模块可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个模块的具体实施方式以及对应的有益效果可参见前面的方法实施例,在此不再赘述。
本发明实施例还提供一种计算机设备,如图8所示,其示出了本发明实施例所涉及的计算机设备的结构示意图,具体来讲:
该计算机设备可以包括一个或者一个以上处理核心的处理器801、一个或一个以上计算机可读存储介质的存储器802、电源803和输入单元804等部件。本领域技术人员可以理解,图8中示出的计算机设备结构并不构成对计算机设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器801是该计算机设备的控制中心,利用各种接口和线路连接整个计算机设备的各个部分,通过运行或执行存储在存储器802内的计算机程序和/或模块,以及调用存储在存储器802内的数据,执行计算机设备的各种功能和处理数据,从而对计算机设备进行整体监控。可选的,处理器801可包括一个或多个处理核心;优选的,处理器801可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作***、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器801中。
存储器802可用于存储计算机程序以及模块,处理器801通过运行存储在存储器802的计算机程序以及模块,从而执行各种功能应用以及数据处理。存储器802可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的计算机程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据计算机设备的使用所创建的数据等。此外,存储器802可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器802还可以包括存储器控制器,以提供处理器801对存储器802的访问。
计算机设备还包括给各个部件供电的电源803,优选的,电源803可以通过电源管理***与处理器801逻辑相连,从而通过电源管理***实现管理充电、放电、以及功耗管理等功能。电源803还可以包括一个或一个以上的直流或交流电源、再充电***、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该计算机设备还可包括输入单元804,该输入单元804可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
尽管未示出,计算机设备还可以包括显示单元等,在此不再赘述。具体在本实施例中,计算机设备中的处理器801会按照如下的指令,将一个或一个以上的计算机程序的进程对应的可执行文件加载到存储器802中,并由处理器801来运行存储在存储器802中的计算机程序,从而实现各种功能,比如:
接收目标服务器发送的目标数字证书,目标数字证书包括认证机构采用认证私钥对目标服务器认证后得到的证书;
将目标数字证书发送至物联网设备,以使物联网设备采用内置的认证公钥对目标数字证书进行校验,并在校验通过时,取得目标数字证书的内容;
接收物联网设备基于对目标数字证书校验通过后返回的第一挑战信息;
将第一挑战信息发送至目标服务器,以使目标服务器基于第一挑战信息生成第一挑战值;
接收目标服务器发送的第一挑战值,并将第一挑战值发送至物联网设备,以基于第一挑战值和目标数字证书的内容确定控制设备上的目标应用程序对物联网设备的控制权限。
以上各个操作的具体实施以及对应的有益效果可参见前面的实施例,在此不作赘述。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过计算机程序来完成,或通过计算机程序控制相关的硬件来完成,该计算机程序可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本发明实施例提供一种计算机可读存储介质,其中存储有计算机程序,该计算机程序能够被处理器进行加载,以执行本发明实施例所提供的任一种权限确定方法中的步骤。
以上各个操作的具体实施以及对应的有益效果可参见前面的实施例,在此不再赘述。
其中,该计算机可读存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该计算机可读存储介质中所存储的计算机程序,可以执行本发明实施例所提供的任一种权限确定方法中的步骤,因此,可以实现本发明实施例所提供的任一种权限确定方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
其中,根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述权限确定方法。
以上对本发明实施例所提供的一种权限确定方法、装置、计算机设备和计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (12)
1.一种权限确定方法,其特征在于,应用于控制设备,包括:
接收目标服务器发送的目标数字证书,所述目标数字证书包括认证机构采用认证私钥对所述目标服务器认证后得到的证书;
将所述目标数字证书发送至物联网设备,以使所述物联网设备采用内置的认证公钥对所述目标数字证书进行校验,并在校验通过时,取得所述目标数字证书的内容;
接收所述物联网设备基于对所述目标数字证书校验通过后返回的第一挑战信息;
将所述第一挑战信息发送至所述目标服务器,以使所述目标服务器基于所述第一挑战信息生成第一挑战值;
接收所述目标服务器发送的所述第一挑战值,并将所述第一挑战值发送至所述物联网设备,以基于所述第一挑战值和所述目标数字证书的内容确定所述控制设备上的目标应用程序对所述物联网设备的控制权限。
2.根据权利要求1所述的权限确定方法,其中,所述目标数字证书包括第一数字证书,所述第一数字证书为认证机构采用认证私钥对所述目标服务器的第一公钥认证后得到的证书;
相应地,所述将所述目标数字证书发送至物联网设备,以使所述物联网设备采用内置的认证公钥对所述目标数字证书进行校验,并在校验通过时,取得所述目标数字证书的内容,包括:
将所述第一数字证书发送至物联网设备,以使所述物联网设备采用内置的认证公钥对所述第一数字证书进行校验,并在校验通过时,取得所述目标服务器的所述第一公钥;
所述接收所述物联网设备基于对所述目标数字证书校验通过后返回的第一挑战信息,包括:
接收所述物联网设备基于对所述第一数字证书校验通过后返回的第一挑战信息;
所述将所述第一挑战信息发送至所述目标服务器,以使所述目标服务器基于所述第一挑战信息生成第一挑战值,包括:
将所述第一挑战信息发送至所述目标服务器,以使所述目标服务器采用所述目标服务器的第一私钥对所述第一挑战信息进行签名,得到第一挑战值;
所述接收所述目标服务器发送的所述第一挑战值,并将所述第一挑战值发送至所述物联网设备,以基于所述第一挑战值和所述目标数字证书的内容确定所述控制设备上的目标应用程序对所述物联网设备的控制权限,包括:
接收所述目标服务器发送的所述第一挑战值,并将所述第一挑战值发送至所述物联网设备,以使所述物联网设备采用所述第一公钥对所述第一挑战值进行校验,并在校验通过时,将所述目标应用程序标记为具备对所述物联网设备的控制权限的应用程序。
3.根据权利要求1所述的权限确定方法,其中,所述将所述目标数字证书发送至物联网设备,包括:
向所述物联网设备发送证书获取请求;
接收所述物联网设备基于所述证书获取请求返回的第二数字证书,所述第二数字证书为所述认证机构采用所述认证私钥对所述物联网设备的第二公钥进行签名后得到的证书;
采用内置的认证公钥对所述第二数字证书进行校验,在校验通过时,取得所述物联网设备的第二公钥;
生成第二挑战信息,并将所述第二挑战信息发送至所述物联网设备,以使所述物联网设备基于第二挑战信息生成第二挑战值;
接收所述第二挑战值,并根据所述第二公钥对所述第二挑战值进行校验;
当校验通过时,将所述目标数字证书发送至所述物联网设备。
4.根据权利要求1所述的权限确定方法,其中,所述将所述目标数字证书发送至物联网设备,包括:
接收所述物联网设备广播的待配网信息;
根据所述待配网信息与所述物联网设备建立连接;
基于所述连接将所述目标数字证书发送至物联网设备。
5.根据权利要求2所述的权限确定方法,其特征在于,在所述接收所述目标服务器发送的所述第一挑战值,并将所述第一挑战值发送至所述物联网设备,以使所述物联网设备采用所述第一公钥对所述第一挑战值进行校验,并在校验通过时,将所述目标应用程序标记为具备对所述物联网设备的控制权限的应用程序之后,还包括:
通过所述目标应用程序发送控制指令至所述物联网设备,以使所述物联网设备执行与所述控制指令对应的操作。
6.一种权限确定方法,其特征在于,应用于物联网设备,包括:
接收控制设备发送的目标数字证书,所述目标数字证书为认证机构采用认证私钥对目标服务器认证后得到的证书;
采用内置的认证公钥对所述目标数字证书进行校验;
当校验通过时,取得所述目标数字证书的内容,并返回第一挑战信息至所述控制设备,以使所述控制设备将第一挑战信息发送至所述目标服务器,所述第一挑战信息用于指示所述目标服务器生成第一挑战值,并将所述第一挑战值返回至所述控制设备;
接收所述控制设备发送的所述第一挑战值;
基于所述第一挑战值和所述目标数字证书的内容确定所述控制设备上的目标应用程序对所述物联网设备的控制权限。
7.一种权限确定方法,其特征在于,应用于目标服务器,包括:
将目标数字证书发送至控制设备,以使得所述控制设备将所述目标数字证书发送至物联网设备,所述目标数字证书用于指示所述物联网设备进行校验,并在校验通过时,取得所述目标数字证书的内容,并返回第一挑战信息至所述控制设备,所述目标数字证书包括认证机构采用认证私钥对所述目标服务器认证后得到的证书;
接收所述控制设备发送的所述第一挑战信息;
基于所述第一挑战信息进生成第一挑战值;
将所述第一挑战值发送至所述控制设备,以使得所述控制设备将所述第一挑战值发送至所述物联网设备,所述第一挑战值和所述目标数字证书的内容用于所述物联网设备确定所述控制设备上的目标应用程序对所述物联网设备的控制权限。
8.一种权限确定装置,其特征在于,应用于控制设备,包括:
第一接收模块,用于接收目标服务器发送的目标数字证书,所述目标数字证书包括认证机构采用认证私钥对所述目标服务器认证后得到的证书;
第一发送模块,用于将所述目标数字证书发送至物联网设备,以使所述物联网设备采用内置的认证公钥对所述目标数字证书进行校验,并在校验通过时,取得所述目标数字证书的内容;
第二接收模块,用于接收所述物联网设备基于对所述目标数字证书校验通过后返回的第一挑战信息;
第二发送模块,用于将所述第一挑战信息发送至所述目标服务器,以使所述目标服务器基于所述第一挑战信息生成第一挑战值;
第三接收模块,用于接收所述目标服务器发送的所述第一挑战值,并将所述第一挑战值发送至所述物联网设备,以基于所述第一挑战值和所述目标数字证书的内容确定所述控制设备上的目标应用程序对所述物联网设备的控制权限。
9.一种权限确定装置,其特征在于,应用于物联网设备,包括:
第四接收模块,用于接收控制设备发送的目标数字证书,所述目标数字证书为认证机构采用认证私钥对目标服务器认证后得到的证书;
第一校验模块,用于采用内置的认证公钥对所述目标数字证书进行校验;
第三发送模块,用于当校验通过时,取得所述目标数字证书的内容,并发送第一挑战信息至所述控制设备,以使所述控制设备将第一挑战信息发送至所述目标服务器,所述第一挑战信息用于指示所述目标服务器生成第一挑战值,并将所述第一挑战值返回至所述控制设备;
第五接收模块,用于接收所述控制设备发送的第一挑战值;
确定模块,用于基于所述第一挑战值和所述目标数字证书的内容确定所述控制设备上的目标应用程序对所述物联网设备的控制权限。
10.一种权限确定装置,其特征在于,应用于目标服务器,包括:
第四发送模块,用于将目标数字证书发送至控制设备,以使得所述控制设备将所述目标数字证书发送至物联网设备,所述目标数字证书用于指示所述物联网设备进行校验,并在校验通过时,取得所述目标数字证书的内容,并返回第一挑战信息至所述控制设备,所述目标数字证书包括认证机构采用认证私钥对所述目标服务器认证后得到的证书;
第六接收模块,用于接收所述控制设备发送的所述第一挑战信息;
生成模块,用于基于所述第一挑战信息进生成第一挑战值;
第五发送模块,用于将所述第一挑战值发送至所述控制设备,以使得所述控制设备将所述第一挑战值发送至所述物联网设备,所述第一挑战值和所述目标数字证书的内容用于所述物联网设备确定所述控制设备上的目标应用程序对所述物联网设备的控制权限。
11.一种计算机设备,其特征在于,包括处理器和存储器,所述存储器存储有计算机程序,所述处理器用于运行所述存储器内的计算机程序,以执行权利要求1至5任一项所述的权限确定方法、权利要求6所述的权限确定方法或权利要求7所述的权限确定方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序适于处理器进行加载,以执行权利要求1至5任一项所述的权限确定方法、权利要求6所述的权限确定方法或权利要求7所述的权限确定方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111590467.2A CN114329534A (zh) | 2021-12-23 | 2021-12-23 | 权限确定方法、装置、计算机设备和计算机可读存储介质 |
PCT/CN2022/130533 WO2023116239A1 (zh) | 2021-12-23 | 2022-11-08 | 权限确定方法、装置、计算机设备和计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111590467.2A CN114329534A (zh) | 2021-12-23 | 2021-12-23 | 权限确定方法、装置、计算机设备和计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114329534A true CN114329534A (zh) | 2022-04-12 |
Family
ID=81054967
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111590467.2A Pending CN114329534A (zh) | 2021-12-23 | 2021-12-23 | 权限确定方法、装置、计算机设备和计算机可读存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN114329534A (zh) |
WO (1) | WO2023116239A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023116239A1 (zh) * | 2021-12-23 | 2023-06-29 | 深圳Tcl新技术有限公司 | 权限确定方法、装置、计算机设备和计算机可读存储介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105245552B (zh) * | 2015-11-18 | 2019-01-18 | 北京京东世纪贸易有限公司 | 实现安全控制授权的智能设备、终端设备及方法 |
JP2017175226A (ja) * | 2016-03-18 | 2017-09-28 | 株式会社インテック | 公開鍵証明書を発行するためのプログラム、方法およびシステム |
CN108667780B (zh) * | 2017-03-31 | 2021-05-14 | 华为技术有限公司 | 一种身份认证的方法、***及服务器和终端 |
CN108366063B (zh) * | 2018-02-11 | 2021-06-18 | 广东美的厨房电器制造有限公司 | 智能设备的数据通信方法、装置及其设备 |
CN110690966B (zh) * | 2019-11-08 | 2020-10-09 | 北京金茂绿建科技有限公司 | 终端与业务服务器连接的方法、***、设备及存储介质 |
CN114329534A (zh) * | 2021-12-23 | 2022-04-12 | 深圳Tcl新技术有限公司 | 权限确定方法、装置、计算机设备和计算机可读存储介质 |
-
2021
- 2021-12-23 CN CN202111590467.2A patent/CN114329534A/zh active Pending
-
2022
- 2022-11-08 WO PCT/CN2022/130533 patent/WO2023116239A1/zh unknown
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023116239A1 (zh) * | 2021-12-23 | 2023-06-29 | 深圳Tcl新技术有限公司 | 权限确定方法、装置、计算机设备和计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2023116239A1 (zh) | 2023-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7280396B2 (ja) | 機器の安全なプロビジョニングと管理 | |
US12010248B2 (en) | Systems and methods for providing authentication to a plurality of devices | |
CN108293045B (zh) | 本地和远程***之间的单点登录身份管理 | |
CN111708991B (zh) | 服务的授权方法、装置、计算机设备和存储介质 | |
US8856544B2 (en) | System and method for providing secure virtual machines | |
EP3258407B1 (en) | Apparatus, method, and program for controlling profile data delivery | |
US20170250807A1 (en) | Application Specific Certificate Management | |
US9112854B1 (en) | Secure communication between applications on untrusted platforms | |
US10181036B2 (en) | Automatic discovery and installation of secure boot certificates | |
CN108111473B (zh) | 混合云统一管理方法、装置和*** | |
US11082214B2 (en) | Key generation apparatus and key update method | |
KR20160055208A (ko) | 모바일 통신 디바이스 및 그 작동 방법 | |
US11373762B2 (en) | Information communication device, authentication program for information communication device, and authentication method | |
JP2008507203A (ja) | ディストリビューションcdを使用した、署名されたグループにおけるダイレクトプルーフの秘密鍵を装置に伝達する方法 | |
CN113661681A (zh) | 将软件载入在安全装置上以生成装置身份以向远程服务器进行认证 | |
US11943372B2 (en) | Use right information processing device, use right information processing system, and use right information processing method, based on smart contract | |
CN112236770A (zh) | 数据处理 | |
JP2018117185A (ja) | 情報処理装置、情報処理方法 | |
CN114372254B (zh) | 大数据环境下的多认证授权方法 | |
CN114329534A (zh) | 权限确定方法、装置、计算机设备和计算机可读存储介质 | |
CN114329424A (zh) | 权限确定方法、装置、计算机设备和计算机可读存储介质 | |
CN108228280A (zh) | 浏览器参数的配置方法及装置、存储介质、电子设备 | |
CN113872986B (zh) | 配电终端认证方法、装置和计算机设备 | |
CN111245600B (zh) | 基于区块链技术的鉴权认证方法和*** | |
US20210194705A1 (en) | Certificate generation method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |